Bezpečnostný problém sa týka overovania elektronických podpisov kde podateľne úplne identicky overujú jednoduché elektronické podpisy ako kvalikované.
Útočník sa teda môže vydávať za inú osobu s cieľom získať prospech cez úradné rozhodnutie.
Dakujeme za nahlasenie, prosim o podrobnejsi popis (kde sa to deje, ake mate o tom informacie ze sa to skutocne deje) a zaslite to prosim na incident@csirt.sk. Budeme sa tomu prioritne venovat.
2 Likes
Deje sa úplne bežne, že jednoduchý podpis sa overí identicky ako platný, znalý úradník si to všimne a vyzve na odstránenie vád, lenže 99,99999% úradníkov si to nevšimne a konajú ďalej. Podpis ako podpis. Pri vlastnoručným podpise nerozlišovali medzi zaručeným, kvalifikovaným, jednoduchým, mandátym…
Zodpovednosť nesie stále štát, takže úradníkom je jedno aký podpis im je predložený. Nie je to ich zodpovednosť, dodávateľ overil ako platný.
Koniec-koncov dva roky im overoval podpisy podľa starej právnej úpravy ako platne a nikto to na úrade vlády neriešil. Som zvedavý s akou koncepciou udržiavania týchto elektronickych dokumentov príde upvii
1 Like
Deje sa to uplne vsade. Napriklad aj s obcou som riesil ze Rozhodnutie prislo podpisane iba AdESom a nie s QES. Vysledok ? NASES povedal, ze to je dobre … (3 overovace povedali ze je AdES, nie QES)
Casto nam advokati opacne zase reklamuju ze spravne podpisany dokuemnt im nevezmu napr. na katastroch, lebo napriklad si CEP neoveri existenciu CA z chainu ciek v Trusted liste a vyhlasuje neplatne podpisy. Alebo bnevedia overit niektore casove peciatky.
A dodnes spusta sudov vydava rozhodnutia ako XZEP. Uplne v rozpore so zakonom. Vlastne podla zakona NEAUTORIZOVANE sudom, kedze podla 305-ky musia byt VSETKY ele. uradne dokumenty autorizovane QES. Cize ako prvy incident prosim skontolujte sudy aby vydavali rozsudky v zakonnom formate, lebo riesit o par rokov zaloby ze rozsudky neboli vydane podla predpisov nasesudnictvo uplne polozi na lopatky 
1 Like
V prvom rade nech úrad vlády vypne nedôveryhodné služby, prejde na dôveryhodne služby eidas (podpisovanie a doručovanie) a potom ako gestor legislatívy nech nechrli do sveta bezpečnostné diery.
Nech už aj úrady začnú používať dôveryhodné podateľne ktoré overia podpisy tak aby vedel úradník náležite odstraňovať vady.
Podľa mojich info okresný súd Banská Bystrica a Žilina nevyhotovuje listinné spisy v exekučnom a upomínacom konaní, v konaní PVS. To je dosť vážny bezpečnostný problém, ktorým by sa mali úrad vlády, nbu a csirt zaoberať. Stovky tisíc elektronických dokumentov sú tak v lufte.
Kataster by mal nasledovať a kontrolovať či je dodržiavany eidas. Kataster totiž hlásil, že nevie garantovať ústavne právo občanov na vlastníctvo k nehnuteľnostiam.
Alebo to nechajme tak a nechajme dohrať tragikomédiu do konca.
Ked overovac povie ze je to podpis CAdES,PAdES,XAdES to nehovori nic o tom ci je podpis kvalifikovany alebo nie. AdES podpis moze byt kvalifikovany aj nekvalifikovany.
V com spocival problem, ake to boli overovace a co hovorili o certifikate ktory bol pouzity v podpise?
To by mohlo byt aj v poriadku. Lebo podatelna by mala vediet overit akykolvek podpis aj nekvalifikovany. Problem je ci uradnik vie z hlasenia o overeni rozlisit co je obycajny a co kvalifikovany podpis a ci vobec tusi aky je v tychto dvoch podpisoch rozdiel.
Cize ak pride nieco podpisane nekvalifikovanym podpisom tak podatelna by mala dat spravu ci je to platny podpis alebo nie. Druha vec je ze niekde by malo byt cervenymi pismenami hrubym pismom zdoraznenie ze “Podpis je platný ale nie je kvalifikovany”. Podla eIDAS urad nesmie odmietnut elektronicky dokument len preto ze je podpisany elektronickym podpisom. Teda kazdy urad musi byt vybaveny aj na prijem nekvalifikovaneho podpisu. Pre pripad ze zakon alebo ina smernica pozaduje ze pre dany ukon musi byt podpis kvalifikovany musi uradnik dostat info ze podpis je platny ale nie je kvalifikovany a musi vediet ako na tento problem reagovat…
Problem je ze nie je vypisana uroven podpisu (QES/AdES/ES/) a do toho sa miesa este ZEP. Pri sukromnych dokumentoch moze stacit AdES, lebo to je uroven ktroru definuje eIDAS. Avsak pre Elek. Uradnych dokumentoch musi byt autorizacia pomocou QES/KEP, lebo tak to definuje slovensky zakon. A z toho vychadza stat zle, lebo velka miera nim vydavnych dokumenotv neobsahuje KEP, ale iba AdES (napriklad obce ktore su v DCOMe), alebo este horsie rozne formy ZEPu, ktore nik neoveruje ako KEP, ale podla zakona, ktory je uz 3 roky neplatny. Urady a uradnici netusia a spoliehaju na softver, ktory bude 2-stavovy = PLATNY/NEPLATNY. Ked nieco reklamujeme, vacsina z nich o zdokonalenom podpise pocuje prvy krat. A aby to ho nebolo malo, krajina s kotrou najviac komunikujeme aj urwadne (Cesko) ma pojmy Zaruceny, Uznavany, Zdokonaleny a Kvalifikovany … pricom prve dva znamenaju uplne nieco ine.
overovac napriklad ZEP.DISIG.SK pri prenuti do QES hovori aj uroven podpisu Zdokonaleny/kvlaiafikovany/jednoduchy EP). Tiez Podpisuj.sk. A tiez referencny ETSI overovac (na ten potrebujete login od ETSI). A vsetky tieto mi povedali ze Zdokonaleny. NASES povie obci ze to je vporiadku … Mozno ma netrapi ten dokument samotny, islo o predpis na odpad, ale ten pristup a ta lahostajnost. Inak staci vam dat podanie, alebo ist skontrolovat podnaia na OR SR, ci eZaloby. Uz tam sice presli na zakonny format podpisu formulara a priloh, ale DORUCENKA vam furt pride vo formate XZEP. A dorucenka je v pripade sudnych sporov VAZNYM DOKAZOM. Som zvedavy ked niekto napadne dorucenku a sudca zisti ze ma pravdu, kto bude vinny …
OK suhlasim ze “protokol overenia” tie udaje co po overeni dostanes su aj pre odbornika casto zahadne co potom uradnik, ktory nema o podpisovej technologii ponatie.
Ked vyjdeme z toho ze kvalifikovany podpis nie je vlastne nic ine ako zdokonaleny podpis, ktory je vyhotoveny pomocou privateneho kluca ulozeneho na QSSD, tak overovace maju vzdy pravdu je to zdokonaleny podpis ak sa da identifikovat podpisujuci (zdokonaleny je vlastne podpis kde vies zarucit kto podpisoval). Takze overovace maju pravdu v tom ze je zdokonaleny a je uplne jedno aky ades to je.
Podstatne je ze oni maju oznamit nielen ci podpis je po technickej stranke platny, ale aj to ci je alebo nie je kvalifikovany a hlavne meno nazov podpisujuceho. Aby jednym pohladom na tieto udaje o overeni mal uradnik okamzite jasno vo vsetkych aspektoch. Aby uradnik vedel ako ma postupovat ak podpis nie je po technickej stranke platny, aby vedel ako ma postupovat ak dana agenda vyzaduje KEP a on prijal dokument ktory je podpisany iba zdokonalenym podpisom, ale rovnako aj to ci KEP ci EP na dokumente vyhotovila osoba, ktora bola tento dokument opravnena/povinna podpisat - ci to nepodpisal za neho niekto druhy.
Snad sa uz dockame konecne ze urady budu na overovanie podpisov pouzivat riadnu akreditovanu sluzbu overovania KEP podla eIDAS a budu sa moct na protokol o overeni spolahnut aj po pravnej stranke.
Tak tak, protokol je naozaj mätúci. Úradníci to ale majú ustálené, za technickú stránku zodpovedá štát.
čo sa týka dôveryhodných služieb (overovanie, podpisovanie, doručovanie) nedočkáme sa ich tak skoro. Ti čo držia SK IT za guľky nemajú záujem na eidas riešení a dohľade eú.
Z vlastnej skúsenosti pri slove eidas na jednom stretnutí som videl veľmi kyslé tvare.